Назад | Перейти на главную страницу

Миграция Active Directory с Windows 2003 на Windows 2016

Я унаследовал старую установку Active Directory на базе Windows 2003, и мне поручено обновить ее до современных стандартов. Я провел различные (успешные) тесты в своей лаборатории, используя приведенный ниже план, но мне действительно нужны рекомендации по проверке реальности / передовой практике от других экспертов в этой области.

Текущее состояние: Одноместный домен Active Directory со смешанным режимом Windows-2000, работающий при установке Windows 2003. Компонент DNS работает с незащищенными динамическими обновлениями.

Целевой статус: перейти на домен уровня Windows 2012R2 при установке Windows 2016 (примечание: целевой уровень Windows 2012R2, а не 2016, обусловлен тем, что у моего клиента есть другие серверы Windows 2012R2). Миграция должна производиться с наименьшими нарушениями; в любом случае, так как я собираюсь поработать над ним в выходные дни, возможны короткие перерывы в обслуживании.

Предостережения: в то время как одноуровневый домен устарел, мне действительно нужно, чтобы он работал как есть. Я оценил и переименование домена, и / или миграцию домена на новое имя, но они просто кажутся слишком большими для моего клиента.

Мой план:

установить новый сервер Windows 2016 и добавить его в качестве простого члена в текущий домен
повысить текущий функциональный уровень леса / домена до Windows 2003
повысить роль нового сервера Windows 2016 до роли контроллера домена (с глобальным каталогом)
понизить роль старого сервера (через dcpromo)
на новом сервере Windows 2016 используйте «Active Directory - сайты и службы», чтобы удалить все возможные остатки операции понижения
в новой Windows 2016 используйте «Диспетчер DNS», чтобы изменить тип динамического обновления DNS на «Только безопасный».
повысить функциональный уровень леса / домена до Windows 2012R2
изменить исходный IP-адрес старого сервера (например, с 192.168.1.1 на 192.168.1.2)
измените IP-адрес нового сервера, чтобы он соответствовал старому контроллеру домена (например, с 192.168.1.10 на 192.168.1.1). Примечание: Я планирую сделать это из-за текущих настроек DHCP и правил межсетевого экрана / VPN для шлюза.
перейти с FSR на DFSR (см. Вот и Вот)
установить еще один сервер Windows 2016 в филиале, добавив его в качестве нового контроллера домена (с глобальным каталогом).

Вопросы:

Я упускаю что-то важное?
Хороша ли моя идея поменять местами IP-адрес старого / нового сервера, чтобы минимизировать изменения брандмауэра / VPN / DHCP, или мне следует избегать этого?
Что я должен знать?

ОБНОВИТЬ: после долгого обсуждения и тестирования я убедил своего клиента пойти на переименование домена. Я сделал это через rendom в соответствии с рекомендациями Microsoft, и все прошло гладко (к счастью, у нее не было локального сервера Exchange).

в то время как одноуровневый домен устарел, мне действительно нужно, чтобы он работал как есть. Я оценил и переименование домена, и / или миграцию домена на новое имя, но они просто кажутся слишком большими для моего клиента.

Иногда самое трудное - это правильно. ИМО, вы оказываете своему клиенту медвежью услугу, продолжая использовать и поддерживать SLD. Сделайте «правильный» поступок и выполните переименование домена или переход на новый домен.

на новом сервере Windows 2016 используйте «Active Directory - сайты и службы», чтобы удалить все возможные остатки операции понижения.

Примечание. Остаток, который я всегда должен чистить при переносе 2003/2008, находится в консоли DNS, старый DC всегда все еще отображается в поле NS.

Как там, если быть точным;

Во-вторых, я бы хотел убедиться, что они тоже не используют WINS. Пожалуйста, дважды проверьте там, чтобы убедиться, нужно ли вам активировать это или нет, это было популярно в те годы.

Для переименования домена я не рекомендую это сделать, это большая задача, которая может оставить много ошибок, если будет сделан неправильный шаг.

Не просматривайте сайты и службы вручную, пытаясь очистить метаданные контроллера домена. Вы можете ошибаться, и это не единственное место, где существуют такие данные. Используйте собственную команду NTDSUTIL; он имеет надежную операцию очистки метаданных.

Перенесите роли FSMO на новый DC перед понижением уровня старого DC. Я думаю, вы получите предупреждение, если не сделали этого, но я никогда не испытывал соблазна попробовать это.

Обновления безопасного DNS требуют дополнительной настройки, если у вас есть клиенты, отличные от Windows. Сюда входят различные устройства, такие как принтеры, поддерживающие DHCP. Есть варианты, в зависимости от ваших потребностей:

Вы можете настроить DHCP-сервер для регистрации DNS-записей от имени таких клиентов (и заполнения группы DnsUpdateProxy, если у вас несколько DHCP-серверов), или
Вы можете настроить системы для выполнения безопасных обновлений самостоятельно (например, Linux потребуется файл keytab, поскольку для безопасных обновлений требуется проверка подлинности Kerberos) или
Вы можете создавать статические записи DNS и настраивать резервирование DHCP для этих устройств.

Я бы остановил службу NETLOGON перед изменением IP-адреса нового контроллера домена и сразу же перезапустил его. Это должно гарантировать немедленное обновление соответствующих записей DNS.

Я согласен с предыдущим постером о том, чтобы отказаться от однозначного домена, но понимаю, что передовые методы не всегда доступны. В некоторых условиях с таким изменением может потребоваться значительная работа.